据国外媒体报道,网络高手们日前在CanSecWest安全大会年度Pwn2Own竞赛上成功侵入未解锁的iPhone、Snow Leopard上的Safari以及Windows 7上的Internet Explorer 8和Firefox。
Independent Security Evaluators公司首席安全分析师查理·米勒(Charlie Miller)成功侵入一台MacBook Pro的Safari , 获得10000美元奖金。米勒在去年利用Safari的一个漏洞完成侵入,获得5000美元奖金。2008年则侵入一台 MacBook Air笔记本电脑,获得10000美元奖金。所有这些入侵都是在同一台电脑上完成的。米勒拒绝提供侵入Safari的具体细节,但他说目标电脑曾先访问了一个带有恶意程序的网站,获得目标电脑的一个接口,能够执行他需要的命令,而目标电脑一直都没有发觉,但现在目标电脑已经完全修复。据悉,米勒花 了至少一周时间来写攻击程序。
来自荷兰的独立安全研究人员彼得·乌勒登希尔(Peter Vreugdenhil)利用自己开发的程序,成功绕过IE8的防护功能,获得10000美元。乌勒登希尔说,他利用了两个安全漏洞侵入IE 8,绕过了地址空间布局随机化(ASLR)和数据执行防护(DEP)。ASLR的安全功能在于能减少了一些内存代码攻击,DEP则是用于防止攻击者在非可执行内存上运行恶意代码。
同样获得10000美元的还有来自英国MWR InfoSecurity的尼尔斯(Nils,他拒绝透露姓氏),尼尔斯的攻击目标是 Firefox。尼尔斯目前是德国奥尔登堡大学计算机科学系的学生,去年已经成功侵入IE 8、Safari及Firefox,赢得1.5万美元奖金。尼尔斯说,侵入利用了内存损坏漏洞并绕过ASLR和DEP,写这个侵入程序花费了仅仅几天的时间。
最后,卢森堡大学拉尔夫·菲利普·魏曼(Ralf Philipp Weinmann)和德国Zynamics公司文森佐·罗佐(Vincenzo Iozzo)成功侵入iPhone,共同分享了15000美元奖金。罗佐由于旅途耽误了比赛,罗佐的同事托马斯·杜林(Thomas Dullien)担任了他的比赛代理人。罗佐和魏曼利用两周时间来写侵入程序,成功窃取iPhone的SMS数据库的内容。
Copyright ©1999-2024 chinanews.com. All Rights Reserved